Právní problematika tak v IT souvisí především s informacemi – nakládáním s nimi a ochranou, může se ale dotýkat i sporů spojených s nasazováním informačních systémů či tvorbou a úpravami podnikových aplikací. Tomáše Nielsena, partnera v advokátní kanceláři Nielsen Meinl, jsme se zeptali, na které aspekty a oblasti práva by si CIO měl dát pozor.
Které právní aspekty firmy nejčastěji podceňují v oblasti informačních technologií?
Podle mých zkušeností je to hlavně zvláštní regulace týkající se některých typů dat, případně obsahu. Předtím, než IT manažer začne hledat konkrétní řešení, měl by vědět, jaké regulatorní podmínky musí takové řešení splňovat. Ve vztahu k osobním údajům je to například otázka umístění dat a identifikace osoby, u které budou data umístěna, ve vztahu k autorským dílům je to otázka způsobu, jímž budou díla užívána třetími osobami, a podobně. Firmy by neměly zapomínat, že i internet už je zasažen nemalou mírou regulace. Narážím například na zákon o regulaci reklamy, zákon o některých službách informační společnosti nebo na zákon o audiovizuálních mediálních službách na vyžádání.
Co bývá nejčastěji opomínáno při práci s informacemi v podnicích? Je to obligátní ochrana soukromých údajů, nebo spíše jiné oblasti?
Z hlediska čistě formální regulace jsou to otázky osobních údajů, autorských děl a ochrany soukromí zaměstnanců a jiných třetích osob. Firmy by se ale neměly omezovat jen na tyto otázky. Měly by důsledněji dbát na ochranu svého obchodního tajemství, tedy především definovat, co je obchodním tajemstvím, nastavit vnitřní procesy jeho ochrany, seznámit s nimi všechny pracovníky a dodržování těchto procesů také vynucovat.
Firmy často zapomínají na to, že i když je zneužití jejich know-how, seznamů zákazníků a podobně ve své podstatě protizákonné, bez schopnosti prokázat, že jde o zneužití, že jde o know-how, případně o jiný druh obchodního tajemství, a kdo za zneužitím stojí, je většinou složité něčeho se domoci.
V případě technologií se nejčastěji uvažuje o právu v souvislosti s licencemi či o problematice práv vztahujících se například k softwaru vyvíjenému na zakázku. Mají podle vašich zkušeností CIO a IT ředitelé v této oblasti alespoň rámcový právní přehled?
Samozřejmě vždy závisí na velikosti a zaměření firmy i na zkušenosti konkrétního manažera. Obecně si myslím, že v této oblasti právní vědomí nechybí alespoň do té úrovně, že IT ředitelé vědí, jak licence obecně fungují i kde jsou právně zakotveny. Určité rezervy existují hlavně ve správném pochopení právní povahy softwaru a licencí, to ale platí pro CIO zákaznických firem stejně jako pro dodavatele IT. Z tohoto hlediska bych asi připomněl hlavně dvě věci – licenční smlouvy by vždy měly být srozumitelné – jakákoliv snaha o to, znít odborně, často vede k nějaké míře neurčitosti smlouvy, která může v extrémním případě vést až k její neplatnosti. A dále je potřeba myslet na to, že existuje zásadní rozdíl mezi postoupením licence a poskytnutím podlicence, výpovědí a odstoupením od smlouvy a podobně. Aniž chci nám právníkům dělat nějakou přehnanou reklamu, některé nuance autorského práva jsou bez právních zkušeností uchopitelné jen velice těžce.
Jaké jsou podle vaší zkušenosti nejčastější právní spory v důsledku neúspěšných implementací informačních systémů? Jak jim nejlépe předejít?
Nejtypičtějším sporem je pře o to, zda bylo dílo – informační systém – dodáno řádně. Zákazník totiž v rámci akceptační procedury stále nalézá nové a nové chyby, dodavatel naopak argumentuje, že nejde o chyby nebo jsou to vady, které vlastně nebrání provozu systému, a neměly by tedy být překážkou převzetí díla. Těmto sporům lze předejít kvalitní smlouvou a projektovým řízením. Pokud strany komunikují po celou dobu implementace a ne teprve při dokončení projektu, pokud se dodavatel snaží vyjít klientovi vstříc a zákazník nepodcení svou účast na projektu a pokud smlouva stanoví, jak se určí „řádnost“ díla, pak je většinou vše v pořádku a případné spory se vyřeší dohodou.
Jaká je nejlepší prevence proti únikům dat způsobeným zaměstnanci?
Už jsem o tom hovořil – firmy by měly jasně identifikovat, která data považují za důvěrná, za součást svého obchodního tajemství. Měly by informovat zaměstnance o možných právních důsledcích zneužití obchodního tajemství včetně možné trestněprávní odpovědnosti. A měly by následně případné zneužití vždy tvrdě stíhat. Asi ne vždy uspějí, ale měly by dát najevo, že to s ochranou myslí vážně. Na druhou stranu si firmy musejí být vědomy toho, že ne vše, co se u nich zaměstnanci dozvědí, lze chránit. Je naprosto přirozené, že pracovník, který odejde, využije své nabyté vědomosti ve prospěch nového zaměstnavatele. Neměl by si však s sebou přinést databázi zákazníků a slev ani obchodní či marketingovou strategii předchozího zaměstnavatele pro další období. Pokud tedy firma bude tvrdě hlídat své know-how, které ale bude schopna přiměřeně vyčlenit od informací, jež jsou běžné, a nevytvoří tedy u zaměstnanců pocit jakési formálnosti této ochrany, pak má velkou šanci si svá data uchránit alespoň před nejtypičtějšími formami úniků. Firmy by navíc měly myslet na to, že nedokážou-li prokázat únik nebo to, kdo se ho dopustil, budou mít problém při ochraně svých dat. Nezapomínejme ale na to, že v dnešním světě většinou konkurenční výhodu neznamenají informace samy o sobě, ale schopnost udržovat je aktuální, rozvíjet je a pracovat s nimi. Únik informací tak sice může být nepříjemný v první chvíli, z dlouhodobého hlediska však nemusí znamenat zásadní katastrofu.
Jaký je optimální postup v případě zcizení zařízení, které obsahuje citlivá data, a je možné jej vystopovat? Nakolik efektivní může být v takových situacích spolupráce s policií?
Nejlepším postupem je držet svá data na chráněných úložištích a „nenosit“ je v přenosných zařízeních. To je ale často jen fikce a sen bezpečnostních manažerů. Každopádně by firmy, respektive jejich bezpečnostní manažeři, měly mít přehled o úrovních citlivosti dat a zařízení, v nichž jsou uložena, a přiměřeně tomu je zabezpečovat a chránit. Bohužel existuje poměrně jasná nepřímá úměra mezi bezpečností dat a komfortem uživatelů. Pokud jde o efektivitu spolupráce s orgány činnými v trestním řízení, záleží na mnoha aspektech. Jde-li o náhodnou pouliční krádež notebooku nebo smartphonu, asi tušíme, jakou efektivitu bude mít vyšetřování trestného činu. Pokud dojde k úniku dat například prolomením serverové obrany a budeme-li mít štěstí, že útočník bude z České republiky, pak určitá šance na jeho dopadení existuje.
V poslední době jsou stále častější cílené DDOS útoky na webové stránky či portály, jaký postup byste doporučil podniku či organizaci, která se stane jejich obětí?
Řada firem poskytujících bezpečnostní software nabízí řešení pro zpětné dohledání povahy útoků, bezpečnostních děr, jichž útočníci využili, jakož i původu útočníků. Je to ale vždy otázka přiměřenosti – získat tyto informace má smysl, pokud s nimi dokážeme dále pracovat. Jednou z forem využití těchto dat je samozřejmě odstranění existujících bezpečnostních problémů. Pokud takový software nemáte, pak je potřeba hlavně minimalizovat rizika probíhajícího útoku a využít všechny možnosti pro evidenci jeho průběhu. Zažil jsem situaci, kdy ředitelka firmy, která neměla žádný sofistikovaný software, jednoduše systém, do něhož odkudsi kdosi neoprávněně přistoupil a začal v něm provádět změny, nahrála na video. A to pomohlo v prokazatelnosti útoku. Samozřejmě efektivita podobných kroků, jakož i bezpečnostního softwaru klesá s vyšší profesionalitou útočníka. Stane-li se firma nečekaně plánovaným cílem profesionálů, měla by se soustředit skutečně hlavně na vyřazení všech možných cest ke svým datům. Opět zde ale platí – je-li útočník ze zahraničí a nezaútočil-li zrovna na největší databáze banky, pak je jeho dopadení a vymožení nějaké náhrady škody velmi časově i finančně nákladným úkolem.
Co považujete za největší rizika cloud computingu?
V podstatě platí to, o čem jsme se bavili na začátku. Pokud firmy podcení přípravu na přechod do režimu cloud computingu, snadno se jim stane, že často bez toho, aby si to uvědomily, poruší předpisy o ochraně osobních údajů, autorský zákon nebo ustanovení o ochraně osobnosti či soukromí. Samozřejmě rizika tohoto druhu klesají s tím, jak roste sofistikovanost řešení. Velcí dodavatelé IT systémů a služeb si jsou těchto rizik vědomi. Důvěryhodného dodavatele tak často poznáte podle toho, že od samého začátku upozorňuje na tyto aspekty a vysvětluje, jak je řeší. Dalším rizikem jsou nekvalitní smlouvy. Nekvalita zde spočívá hlavně v nejasnosti v následujících oblastech: co má být dodáno, tedy definice služby, v jaké kvalitě to má být dodáno a jaké následky jsou spojeny s nedodržením kvality, tedy správně nastavená SLA, a co se stane, když projekt skončí, tedy důsledky odstoupení od smlouvy, její výpovědi nebo jiné formy ukončení spolupráce.